Vulnérabilité critique sur Ivanti Connect Secure, Pulse Secure et Zero Trust Access Gateways

Une vulnérabilité CVE-2025-22457 a été identifiée dans Ivanti Connect Secure (ICS), Pulse Connect Secure, Policy Secure (IPS) et Zero Trust Access (ZTA) Gateways. Ce débordement de pile permet à un attaquant non authentifié d’exécuter du code arbitraire à distance. Ivanti confirme que cette faille est activement exploitée.

Systèmes concernés

• Ivanti Connect Secure (ICS) < 22.7R2.6
• Ivanti Policy Secure (IPS) < 22.7R1.4
• Pulse Connect Secure < 22.7R2.6 (versions 9.1x en fin de vie depuis le 31/12/2024)
• Zero Trust Access Gateways < 22.8R2.2

Exploitation active par un groupe APT

Les chercheurs de Mandiant et de Google Threat Intelligence Group (GTIG) ont révélé que cette faille est exploitée par un groupe lié à la Chine, spécialisé dans le cyberespionnage et identifié sous le nom UNC5221.

Correctifs et mesures à prendre

• Mise à jour ICS disponible depuis le 11 février 2025.
• Mises à jour prévues : 19 avril 2025 pour Zero Trust Access Gateways et 21 avril 2025 pour Ivanti Policy Secure
• Contacter Ivanti pour une migration si vous utilisez une version en fin de vie.
• Recherche de compromission recommandée, même si les correctifs ont été appliqués (Mandiant signale des exploitations depuis mi-mars 2025).

À noter : cette vulnérabilité CVE-2025-22457 est distincte de CVE-2025-0282, qui a fait l’objet de l’alerte ([MàJ] Vulnérabilité dans les produits Ivanti – CERT-FR) et affecte des produits similaires.

Sources

• Bulletin de sécurité Ivanti : Ivanti Community
• Rapport Mandiant : Suspected China-Nexus Threat Actor Actively Exploiting Critical Ivanti Connect Secure Vulnerability (CVE-2025-22457) | Google Cloud Blog
• Bulletin d’alerte du CERT-FR : Vulnérabilité dans les produits Ivanti – CERT-FR

Partager :

• Partager cette page sur Linkedin
• Imprimer